Schwachstellenscanner für Terraform-Skripte
Terraform ist oft das Mittel der Wahl zur Umsetzung von Infrastructure as Code. Für die Jagd auf potenzielle Schwachstellen in Terraform-Code entstanden spezialisierte Scanner. Was können diese Scanner leisten?
DevOps und Public Cloud dominieren heute den Alltag in vielen Unternehmen. Sind Infrastrukturkomponenten als Code (IaC) beschrieben und werden sie über Tools wie Terraform automatisiert in der Cloud bereitgestellt, können Sicherheitsexperten schon in frühen Phasen der DevOps-Prozesse aktiv werden. Da die Beschreibung der Infrastruktur als Code vorliegt, können sie diese bereits vor dem Bereitstellen in der Public Cloud auf Schwachstellen hin überprüfen. So lässt sich verhindern, dass verwundbare Infrastrukturen in der Public Cloud überhaupt erst entstehen.
Dieser Artikel widmet sich einigen speziellen Scannern, die für die Suche von Schwachstellen in solchem Code entwickelt worden sind. Die Wahl fiel auf die drei Scanner tfsec, Terrascan und Snyk IaC auf Grundlage ihrer Beliebtheit bei GitHub. Die drei mussten mit der Kombination Terraform als IaC-Werkzeug und AWS als Public Cloud ihre Fähigkeiten unter Beweis stellen. Ziel der Untersuchung war herauszufinden, welche Fehler den Scannern unterlaufen, um Leser bei der Wahl eines Scanners zu unterstützen.